Rust 成立专门的安全团队-低调大师

Rust 成立专门的安全团队

2022-09-14 409

Rust 编程语言的非营利组织 Rust 基金会宣布，将建立一个专门的安全团队；由 OpenSSF 的 Alpha-Omega Initiative (一个专注于开源软件供应链安全的 Linux 基金会项目) 以及该基金会的最新白金会员、Devops 平台供应商 JFrog 提供支持。

Alpha-Omega 和 JFrog 的投资还包括专门的员工资源，“这将使 Rust 基金会能够创建和实施安全最佳实践”。作为公司对 Rust 基金会和生态系统投资的一部分，JFrog 已经承诺其安全研究团队的成员将在 Rust 基金会安全团队工作。

Rust 基金会执行董事 Bec Rumbul 称，经常有一种误解，即因为 Rust 确保内存安全，所以大家就误认为它就是 100% 安全的。但 Rust 和其他语言一样，也有可能受到攻击，因此需要采取积极的措施来保护和维持它和社区。“随着 Rust 基金会安全团队的成立，我们将能够以最高水平的安全人才支持更广泛的 Rust 社区，并帮助确保 Rust 对每个人的可靠性。当然，这只是一个开始。我们希望在未来几个月和几年内继续建立这个团队”。

根据介绍，新安全团队的第一项举措将是进行安全审计和威胁建模练习，以确定未来如何以经济的方式维护安全。该团队还将帮助倡导整个 Rust 领域的安全实践，包括 Cargo 和 Crates.io，并将成为维护者社区的资源。

OpenSSF 曾在其今年早些时候发布的 10-Point Open Source Security Mobilization Plan 中建议，业界应该努力消除许多漏洞的根源，方法是用 Rust 和 Go 等语言替换 C 和 C++ 等非内存安全语言。

因此，OpenSSF 的 Alpha-Omega Initiative 目前已向 Rust 基金会提供了一笔资金，以支持一名专门的安全工程师。Alpha-Omega 由谷歌和微软资助，其使命是直接参与提高 OSS 项目的安全性。“我们正在学习如何把钱变成安全”。

微信关注我们

原文链接：https://www.oschina.net/news/210220/rust-new-security-team

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

BackupBuddy 插件存在漏洞，WordPress 用户面临风险

Wordfence 是一个专注于研究 WordPress 安全的团队，近日他们发出漏洞警告，警告内容显示自 8 月下旬以来，一个名为 BackupBuddy 的 WordPress 插件中的漏洞已被多起恶意攻击所利用。 BackupBuddy 插件目前大约有 14 万个活跃安装，可以帮助 WordPress 网站管理员轻松管理他们的备份操作，该插件允许用户将备份存储到多个不同的线上和本地目录中。该漏洞的 CVE ID 为 CVE-2022-31474（CVSS 将其危险程度评级为 7.5），被利用的漏洞存在于一个不安全的下载本地存储备份的方法，它允许任何未经认证的用户从服务器上获取任何文件。这个漏洞允许攻击者查看你服务器上任何可以被你的 WordPress 安装系统读取的文件内容。其中包括 /etc/passwd、/wp-config.php、.my.cnf 和 .accesshash。这些文件可以提供对系统用户详细信息、WordPress 数据库设置的未经授权的访问，甚至以 root 用户身份对受影响的服务器提供身份验证权限。更具体地说，该插件为旨在下载本地备份文件的函数注册...

2022-09-14

446

ChengYing是一站式全自动化全生命周期大数据平台运维管家，提供大数据产品的一站式部署、运维、监控服务，其可实现产品部署、产品升级、版本回滚、扩缩节点、日志诊断、集群监控、实时告警等功能，致力于最大化节省运维成本，降低线上故障率与运维难度，为客户提供安全稳定的产品部署与监控。 ChengYing脱胎于袋鼠云数栈自主研发的一站式运维管家EasyManager，承袭袋鼠云开源项目名剑家族的概念，取自十大名剑之承影剑，1.0版本于2022年5月30日在github上线。 2022年9月13日，ChengYing1.1版本正式发布！ ChengYing1.1版本在1.0的版本上，对之前的UI做了全面升级，并新增平台管理中心，包含：备份配置、安装目录、脚本管理、集群巡检等功能；在运维中心及部署中心原有的基础上做了全面升级优化，新增超多功能，进一步提高了运维及部署能力。本次发布的1.1版本带来如下新亮点： ● 普通升级用户在升级组件包时自动备份数据库，回滚时能自动还原数据库，方便用户进行数据备份及运维升级回滚。 ● 平滑升级实现组件包的滚动发布，可以先升级一部分应用，等测试完成后，再全部...

2022-09-13

377

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。